有没有办法通过注册表(而不是组策略)为 Windows Home Edition 上的用户控制“设备安装限制”?
Dir*_*irk 5 windows-registry group-policy windows-10
我们制定了组策略限制来防止某些硬件 ID 的设备安装(见下文),但组策略仅适用于 Windows Pro/Ultimate 版本,而不适用于 Windows Home。我已经研究过通过 3rd 方解决方案(例如此处找到的解决方案)将组策略添加到 Windows Home,但是它不是组策略的完整最新版本,并且缺少“设备安装限制”选项. 我也有点犹豫在我客户的机器上部署 3rd 方组策略解决方案。
组策略位置:(计算机配置 -> 管理模板 -> 系统 -> 设备安装 -> 设备安装限制 -> 防止安装与任何这些设备 ID 匹配的设备)
我研究通过注册表实现相同的功能,似乎至少找到了一些用于通过组策略控制它的注册表项,但是当我手动编辑它们时,它无法正常工作。这部分可能与在“组策略对象”下的注册表中创建的 GUID 有关(见下图)。是否有人熟悉通过注册表创建组策略对象并使它们保持持久性?
Registry Location shown below: HKCU -> Software -> Microsoft -> Windows -> CurrentVersion -> Group Policy Objects
受标准“组策略设备安装限制”影响的键是:
设备安装限制:HKCU -> 软件 -> Microsoft -> Windows -> 当前版本 -> 组策略对象 -> GUID(不确定这是如何生成的) -> 软件 -> 策略 -> Microsoft -> Windows -> DeviceInstall -> 限制-> DenyDeviceIDs
](https://i.stack.imgur.com/Col2y.jpg)
编辑
您在下面指出的 reg 键确实控制了这组组策略对象。大帮助,谢谢!
有趣的是,当我在 2 台相同的 Surface Pro 4 平板电脑上配置正确的注册密钥时,我可以在我之前通过官方组策略 UI (gpedit) 配置了“设备安装限制”的一台机器上控制“设备安装限制”。设置您通过注册表引用的这些键并重新启动(或通过命令提示符运行 gpupdate.exe /force)确实有效并导致特定设备启用/禁用。
当我在另一台从未通过组策略 UI (gpedit) 设置组策略的 Surface Pro 4 上配置相同的一组键时,即使在重新启动或运行 gpupdate.exe /force 后,该平板电脑也不会实时反映 reg 更改. 似乎其他东西可能会控制这一点?两者都是 Windows Pro,因此所有正确的组策略组件都应该存在于这台机器上。
这里有什么想法吗?似乎还有另一个注册表设置可能可以控制这里的某些内容?
据我所知,该Group Policy Objects分支只是活动 GPO 的缓存。Windows 实际上会检查此注册表位置的计算机策略设置:
HKLM\SOFTWARE\Policies
对于阻止安装与任何这些设备 ID设置匹配的设备,组策略使用此密钥:
HKLM\Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
在DenyDeviceIDs启用该策略时,DWORD设置为1。该DenyDeviceIDsRetroactiveDWORD对应于也可适用于已经安装匹配的设备复选框:1选中,0为不。
受限条目保存在一个Restrictions名为的子项中DenyDeviceIDs。该键上的一个值是一个限制。每个值的名称应与其数据相同。
提示:我使用 Element Inspector 工具在我自己的开源应用程序Policy Plus 中找到了这些信息。
您需要重新启动才能使更改生效。
请注意,即使您完全正确地设置了所有注册表设置,家庭版也可能不尊重它们。大多数组策略设置在所有版本上都可以正常工作,但也有一些不能;使用它们的组件可能不在 Home 上。如果您发现这些设置不起作用,则需要升级到 Pro。
| 归档时间: |
|
| 查看次数: |
12787 次 |
| 最近记录: |